使用导出凭证注册企业移动装置管理服务制造方法及图纸

本文中描述了使用导出凭证将移动计算装置注册到企业移动装置管理系统的方法、系统和计算机可读介质。在各个实施例中，响应于注册到企业移动装置管理服务器的命令，移动计算装置可以运行注册应用程序；将注册请求消息发送至企业移动装置管理服务器；切换到移动计算装置上的证书管理系统应用程序；从证书管理系统服务器请求一个或多个导出凭证；在移动计算装置上的共享库中存储所述一个或多个导出凭证；切换到注册应用程序；检索存储在共享库中的一个或多个导出凭证中的一个导出凭证；以及将所述导出凭证提供至企业移动装置管理服务器，以将移动计算装置注册到至少一个移动装置管理服务。

Registration of enterprise mobile device management services using export certificates

A method, system and computer-readable medium for registering a mobile computing device to an enterprise mobile device management system using export credentials are described in this paper. In the various embodiments, the mobile computing device can run the registered application in response to the command registered with the enterprise mobile device management server; send the registration request message to the enterprise mobile device management server; switch to the certificate management system application on the mobile computing device; service from the certificate management system. Requesting one or more export credentials; storing one or more export credentials in a shared library on a mobile computing device; switching to a registered application; retrieving a export certificate in one or more exported credentials stored in a shared library; and providing the exported voucher to the enterprise mobile device management suit. The device is used to register the mobile computing device to at least one mobile device management service.

【技术实现步骤摘要】
【国外来华专利技术】使用导出凭证注册企业移动装置管理服务相关申请的交叉引用本申请要求于2015年9月25日申请的名称为“USINGDERIVEDCREDENTIALSFORENROLLMENTWITHENTERPRISEMOBILEDEVICEMANAGEMENTSERVICES”的美国非临时申请序号14/865,376的优先权。此在先申请通过引用全部并入本文中。
本文中描述的各个方面一般涉及计算机、网络、硬件以及在其中合适位置的软件、加密技术和安全措施。更具体地，本专利技术的一个或多个方面涉及企业移动装置管理服务，并且具体地涉及使用导出凭证注册企业移动装置管理服务。
技术介绍
企业(enterprise)(例如公司、合伙企业、政府、学术机构、其它组织等)一直面临风险不断增大的针对其计算机网络和资产发起的恶意攻击。一些企业通过在其组织内实施强密码策略减轻了未授权访问其企业资源的风险。密码策略通常迫使企业用户创建并保存大量密码以访问企业资源，并且要定期修改这些密码。然而，这些密码策略并非没有问题。大多数企业用户创建的密码便于其自己记忆，但对于暴力破解、字典或社交工程攻击却是脆弱的。此外，用户往往忘记或错放这些密码，在试图访问企业资源时造成各种问题。为了解决关于密码策略问题当中的一些问题，一些企业加强了其网络和计算机安全程序以包括个人身份验证(PIV)卡或通用访问卡(CAC)的布署和维护。使用这些卡的企业至少有两个优点。第一，这些卡设计成提供两因素认证：卡的物理拥有以及仅有卡的主人知道的个人身份号(PIN)。第二，这些卡允许企业为企业用户生成并分配导出凭证。“导出凭证”这个术语可以指可以从PIV或CAC中的这些凭证导出、并且可以存储在计算装置而非卡上的加密凭证。通过使用这些卡，企业能够控制提供对资源进行访问的导出凭证以及导出凭证的生命周期和/或寿命，而企业用户则不能。企业可以创建、分配、修改、否决或撤销企业认为保护其企业资源必需的导出凭证。换种方式讲，企业用户可能不需要知道访问企业资源所需的密码；实际上，企业用户可能只需要将其PIV或CAC卡插入到读卡器中并且输入其PIN。随着新一代计算装置特别是移动计算装置的出现，PIV和CAC卡的使用已经证明是有挑战的。PIV和CAC卡适合可以容易地与读卡器集成的传统计算装置(例如桌面和膝上型计算机)。移动装置缺少膝上和桌面计算机具有的集成智能读卡器，需要将单独的读卡器附连到装置，以从装置提供认证服务。通常，企业PIV或CAC卡的用户必须在其需要新的导出凭证的每个场合认证和出示其卡片。因此，用移动计算装置上的PIV或CAC卡生成导出凭证的用户体验导致否定了移动计算装置提供的大多数便携和移动的优点。目前的BYOD(bringyourowndevice)-带上你自己的装置的这种趋势进一步提高了这种情况的范围和复杂性。BYOD环境允许企业用户除了企业提供的计算机资源之外，提供其自己的装置用于工作目的，例如移动电话、智能电话、平板电脑、膝上型计算机、个人计算机或其它电子装置。然而，BYOD情形对企业造成内在的安全风险，原因是企业通常缺少对每个雇员提供的装置的统一和完全的控制，原因还有许多企业用户可能抵制将读卡器集成到其个人移动计算装置中。在BYOD世界中，企业移动管理(EMM)解决方案出现，成为一种帮助管理和控制从个人装置远程访问企业资源的流行方式。EMM解决方案一直采用通过所称的移动装置管理(MDM)服务和移动应用程序管理(MAM)服务管理移动计算装置的方法。移动装置管理策略使用访问控制和监测技术控制移动计算装置。移动应用程序管理策略向移动计算装置发布企业软件并管理所述软件。这些策略支持各种安全特征的并入，包括地理围栏特征、远程清除特征、应用程序隔离特征和数据库加密特征。尽管这些EMM解决方案提高了使用个人装置访问企业资源的安全性，但这些解决方案也必然会只增大访问企业资源所需的凭证数目。通常，企业用户必须知道并输入其用户名和网络或目录服务密码，或者其必须提供由EMM服务器生成的一次性密码(OTP)。而且，一些EMM解决方案可能依赖存储于PIV或CAC卡上的凭证进行识别和认证，这导致企业用户不得不在每次想访问企业资源时提供其PIV或CAC卡。
技术实现思路
下面给出本文中描述的各方面的简要总结。此总结不是详尽的概述，不旨在标识关键或重要元件或界定权利要求的范围。以下总结只以简化形式介绍一些概念作为下面提供的更详细描述的介绍性前序。为了克服上文描述的现有技术的局限性，并且为了克服通过阅读和理解本说明书可以明白的其它局限性，本文中描述的各方面涉及使用导出凭证使移动计算装置注册企业移动装置管理服务的系统、方法和技术。有利的是，本文中描述的系统、方法和技术可以实现移动计算装置的注册，以及实现从已注册移动计算装置对企业资源的访问，不需要企业用户知道或输入其网络或目录服务密码，不需要在注册或企业资源的后续访问过程中将PIV或CAC卡物理地连接至移动计算装置。根据一个或多个实施例，一种方法可以包括：由移动计算装置接收注册到企业移动装置管理服务器的命令；响应于接收注册到所述企业移动装置管理服务器的所述命令，由所述移动计算装置运行注册应用程序；由所述移动计算装置使用所述注册应用程序将注册请求消息发送至所述企业移动装置管理服务器；由所述移动计算装置从所述注册应用程序切换到所述移动计算装置上的证书管理系统应用程序；由所述移动计算装置使用所述证书管理系统应用程序从证书管理系统服务器请求一个或多个导出凭证；由所述移动计算装置使用所述证书管理系统应用程序将所述一个或多个导出凭证存储在所述移动计算装置上的共享库中；由所述移动计算装置从所述证书管理系统应用程序切换到所述注册应用程序；由所述移动计算装置使用所述注册应用程序，检索存储在所述移动计算装置上的所述共享库中的所述一个或多个导出凭证中的一个导出凭证；以及由所述移动计算装置使用所述注册应用程序将使用所述注册应用程序检索到的所述一个或多个导出凭证中的所述导出凭证提供至所述企业移动装置管理服务器，以将所述移动计算装置注册到由所述企业移动装置管理服务器提供的至少一个移动装置管理服务。在一些实施例中，所述方法还可以包括：由所述移动计算装置使用所述注册应用程序提示所述移动计算装置的用户提供所述企业移动装置管理服务器的地址。在其它实施例中，所述方法还可以包括：由所述移动计算装置使用所述注册应用程序从自动发现服务请求所述企业移动装置管理服务器的配置信息；以及在从所述自动发现服务请求所述企业移动装置管理服务器的所述配置信息之后，由所述移动计算装置从所述自动发现服务接收包括所述企业移动装置管理服务器的配置信息的消息。发送至所述企业移动装置管理服务器的注册请求消息可以包括从所述自动发现服务接收的所述企业移动装置管理服务器的配置信息。替代性地，在又一些其它实施例中，所述方法还可以包括：由所述移动计算装置使用所述注册应用程序从所述移动计算装置的用户接收密码；由所述移动计算装置使用所述注册应用程序基于从所述移动计算装置的用户接收的密码生成密码验证值；由所述移动计算装置使用所述注册应用程序在所述移动计算装置上的所述共享库中存储所述密码验证值；由所述移动计算装置使用所述注册应用程序将从所述移动计算本文档来自技高网...

【技术保护点】
一种方法，所述方法包括：由移动计算装置接收注册到企业移动装置管理服务器的命令；响应于接收注册到所述企业移动装置管理服务器的所述命令，由所述移动计算装置运行注册应用程序；由所述移动计算装置使用所述注册应用程序将注册请求消息发送至所述企业移动装置管理服务器；由所述移动计算装置从所述注册应用程序切换到所述移动计算装置上的证书管理系统应用程序；由所述移动计算装置使用所述证书管理系统应用程序从证书管理系统服务器请求一个或多个导出凭证；由所述移动计算装置使用所述证书管理系统应用程序将所述一个或多个导出凭证存储在所述移动计算装置上的共享库中；由所述移动计算装置从所述证书管理系统应用程序切换到所述注册应用程序；由所述移动计算装置使用所述注册应用程序，检索存储在所述移动计算装置上的所述共享库中的所述一个或多个导出凭证中的一个导出凭证；以及由所述移动计算装置使用所述注册应用程序将使用所述注册应用程序检索到的所述一个或多个导出凭证中的所述导出凭证提供至所述企业移动装置管理服务器，以将所述移动计算装置注册到由所述企业移动装置管理服务器提供的至少一个移动装置管理服务。

【技术特征摘要】
【国外来华专利技术】2015.09.25 US 14/865,3761.一种方法，所述方法包括：由移动计算装置接收注册到企业移动装置管理服务器的命令；响应于接收注册到所述企业移动装置管理服务器的所述命令，由所述移动计算装置运行注册应用程序；由所述移动计算装置使用所述注册应用程序将注册请求消息发送至所述企业移动装置管理服务器；由所述移动计算装置从所述注册应用程序切换到所述移动计算装置上的证书管理系统应用程序；由所述移动计算装置使用所述证书管理系统应用程序从证书管理系统服务器请求一个或多个导出凭证；由所述移动计算装置使用所述证书管理系统应用程序将所述一个或多个导出凭证存储在所述移动计算装置上的共享库中；由所述移动计算装置从所述证书管理系统应用程序切换到所述注册应用程序；由所述移动计算装置使用所述注册应用程序，检索存储在所述移动计算装置上的所述共享库中的所述一个或多个导出凭证中的一个导出凭证；以及由所述移动计算装置使用所述注册应用程序将使用所述注册应用程序检索到的所述一个或多个导出凭证中的所述导出凭证提供至所述企业移动装置管理服务器，以将所述移动计算装置注册到由所述企业移动装置管理服务器提供的至少一个移动装置管理服务。2.根据权利要求1所述的方法，其还包括：由所述移动计算装置使用所述注册应用程序提示所述移动计算装置的用户提供所述企业移动装置管理服务器的地址。3.根据权利要求1所述的方法，其还包括：由所述移动计算装置使用所述注册应用程序从自动发现服务请求所述企业移动装置管理服务器的配置信息；以及在从所述自动发现服务请求所述企业移动装置管理服务器的所述配置信息之后，由所述移动计算装置从所述自动发现服务接收包括所述企业移动装置管理服务器的配置信息的消息。4.根据权利要求3所述的方法，其中，将所述注册请求消息发送至所述企业移动装置管理服务器包括将从所述自动发现服务接收的所述企业移动装置管理服务器的配置信息发送至所述企业移动装置管理服务器。5.根据权利要求1所述的方法，其还包括：由所述移动计算装置使用所述注册应用程序从所述移动计算装置的用户接收密码；由所述移动计算装置使用所述注册应用程序基于从所述移动计算装置的用户接收的所述密码生成密码验证值；由所述移动计算装置使用所述注册应用程序在所述移动计算装置上的所述共享库中存储所述密码验证值；由所述移动计算装置使用所述注册应用程序将从所述移动计算装置的用户接收的所述密码提供至所述证书管理系统应用程序；以及由所述移动计算装置使用所述证书管理系统应用程序基于存储在所述移动计算装置上的所述共享库中的所述密码验证值验证提供至所述证书管理系统应用程序的所述密码。6.根据权利要求5所述的方法，其还包括：响应于所述注册请求消息，由所述移动计算装置从所述企业移动装置管理服务器接收包括密码复杂度验证规则的消息；以及由所述移动计算装置使用所述密码复杂度验证规则验证所述密码。7.根据权利要求5所述的方法，其中，生成密码验证值包括：生成所述密码的散列；以及对所述密码的散列进行加密。8.根据权利要求5所述的方法，其还包括：在所述移动计算装置上的所述共享库中存储所述一个或多个导出凭证之前，由所述移动计算装置使用所述证书管理系统应用程序基于从所述移动计算装置的用户接收的并提供至所述证书管理系统应用程序的所述密码对所述一个或多个导出凭证进行加密。9.根据权利要求5所述的方法，其还包括：在所述移动计算装置上的所述共享库中存储所述一个或多个导出凭证之前，由所述移动计算装置使用所述证书管理系统应用程序使用私/公钥对对所述一个或多个导出凭证进行加密。10.根据权利要求1所述的方法，其还包括：在切换到所述移动计算装置上的所述证书管理系统应用程序之前，响应于所述注册请求消息，由所述移动计算装置从所述企业移动装置管理服务器接收识别所述移动计算装置上的所述证书管理系统应用程序的消息；以及由所述移动计算装置基于从所述企业移动装置管理服务器接收的识别所述移动计算装置上的所述证书管理系统应用程序的消息，确定切换到所述移动计算装置上的所述证书管理系统应用程序。11.根据权利要求1所述的方法，其还包括：在完成所述注册过程之后，由所...

【专利技术属性】
技术研发人员：肖纳克·米斯特里，尤努斯·阿夫塔布，
申请(专利权)人：思杰系统有限公司，
类型：发明
国别省市：美国,US